Hace ahora dos años, la principal cadena de supermercados de España fue objeto de una sanción por parte de la AEPD (Agencia Española de Protección de Datos), por un caso relacionado con la videovigilancia.
La cuantía de dicha sanción fue de 170.000 euros: aunque unos meses antes Mercadona ya había entrado en el top de las multas millonarias de 2021 por otra sanción de la AEPD (2,5 millones de euros por un polémico intento de implementar un sistema de reconocimiento facial mediante IA), el caso que nos ocupa también tuvo su relevancia jurídica.
Alegaciones que no convencieron a la AEPD
Todo empezó cuando la reclamante solicitó a Mercadona las grabaciones de las videocámaras tras sufrir un accidente en sus instalaciones. Cuando transcurrió un mes sin obtener ninguna clase de respuesta, la reclamante escribió al Delegado de Protección de Datos de Mercadona.
Para su sorpresa, el DPD de la empresa le respondió que las imágenes ya habían sido borradas, lo que motivó a que la usuaria en cuestión pusiera los hechos en conocimiento de la Agencia Española de Protección de Datos. Esto inicia un proceso sancionador ante el que Mercadona enarboló, fundamentalmente, tres argumentos:
- Que la reclamación iniciada a través del canal de denuncias que Mercadona ofrece en su propia web no podía entenderse como un ejercicio del 'derecho de acceso'. Por el contrario, la AEPD entiende que dicho derecho sí se ejerció correctamente.
- Que si la reclamación de la usuaria no llegó a tiempo a manos del DPD de Mercadona se debió meramente a un error involuntario: resulta que las reclamaciones sobre protección de datos que llegan al Departamento de Atención al Cliente se transmiten al DPD "manualmente". La AEPD entiende que dicho error es, precisamente, una muestra de falta de diligencia y que, dado que ha ocurrido en el ámbito de responsabilidad de Mercadona, ésta debe responder por ello.
- Finalmente, Mercadona pedía que se archivara el procedimiento sancionador porque ya había alcanzado un acuerdo con la reclamante para indemnizar tanto los daños sufridos por el accidente en las instalaciones como el derecho de acceso no atendido. A eso responde la AEPD que el desistimiento por parte de la demandante no supone un archivo del procedimiento.
Borrado de vídeos automático, remisión de quejas manual… mala combinación
Por todo lo anterior, la AEPD impuso a la cadena de supermercados 70.000 euros por vulneración del derecho de acceso. Pero, ¿y los otros 100.000 euros?, ¿en concepto de qué se incluyen en la sanción? Pues la AEPD los vincula a una vulneración del artículo 6 de la Instrucción 1/2006, referido a la legitimación del tratamiento.
¿Qué significa esto? Pues que, si bien la supresión de datos personales en el plazo de un mes (las imágenes de videovigilancia) es algo ajustado a derecho, "en el presente caso, concurren otras circunstancias que deben ser consideradas en el análisis de la licitud o ilicitud de aquella supresión o borrado de datos personales".
Y es que, antes de ejercer su derecho de acceso, la demandante ya había presentado una queja formal a Mercadona por el incidente sufrido, por lo que a Mercadona ya le constaba la necesidad de conservar las imágenes al existir un interés de la demandante en el incidente denunciado y registrado en las mismas.
Y, dado que aun así procedió a su borrado, la AEPD entiende que Mercadona llevó a cabo un tratamiento de datos (la supresión de los mismos) sin base jurídica.
Vía | Secuoya Group
Imagen | iStock
En Genbeta | Esta web te permite saber cuánto han subido los precios en Mercadona y otros supermercados
Ver 10 comentarios